En Bref
- L’exploitation de SwapNet entraîne un drain de 16,8 millions de dollars après que les utilisateurs ont désactivé les protections d’autorisation unique.
- L’attaquant a échangé 10,5 millions de USDC contre de l’ETH sur Base avant de le transférer vers Ethereum.
- Matcha Meta désactive les contrats affectés alors que des cabinets de sécurité signalent des risques plus larges dans la DeFi.
Une faille de sécurité liée à SwapNet a entraîné une perte d’environ 16,8 millions de dollars, affectant les utilisateurs interagissant via Matcha Meta. L’incident a principalement concerné les utilisateurs ayant désactivé les autorisations uniques, exposant ainsi des permissions de jetons persistantes.
La société de sécurité blockchain PeckShieldAlert a identifié l’exploitation et tracé les mouvements initiaux des fonds. L’attaquant a ciblé les contrats de routeur SwapNet qui conservaient des autorisations illimitées provenant des portefeuilles des utilisateurs affectés.
Sur le réseau Base, l’attaquant a échangé environ 10,5 millions de dollars en USDC contre environ 3 655 ETH. Peu de temps après, l’attaquant a commencé à transférer les actifs convertis vers le réseau principal Ethereum pour compliquer le suivi.
SwapNet fonctionne comme un routeur de liquidité utilisé par Matcha Meta pour obtenir des prix et une liquidité profonde. L’exploitation a impliqué l’abus des autorisations existantes plutôt que la violation des clés privées ou de l’infrastructure principale.
Matcha Meta, développé par l’équipe 0x, a confirmé le problème et a immédiatement désactivé les contrats SwapNet affectés. La plateforme a également supprimé l’option permettant aux utilisateurs d’accorder des autorisations directes à des agrégateurs tiers.
L’enquête s’élargit alors que des cabinets de sécurité signalent des risques plus importants
Une analyse plus approfondie a suggéré que l’exploitation provenait d’une vulnérabilité d’appel arbitraire dans les contrats SwapNet. Ce défaut permettait aux attaquants de transférer des jetons approuvés sans demander de nouvelles permissions.
La société de sécurité BlockSec a rapporté que plusieurs contrats sur différentes chaînes ont subi des pertes dépassant 17 millions de dollars. Les réseaux affectés comprenaient Ethereum, Arbitrum, Base et BNB Chain, ce qui augmente la portée de l’incident.
Par ailleurs, CertiK a estimé que près de 13,3 millions de dollars en USDC avaient été volés dans le cadre d’activités connexes.
Certains contrats impliqués restaient en source fermée et non vérifiés lors du déploiement.
Matcha Meta a ensuite confirmé que les contrats principaux 0x n’étaient pas affectés par l’incident.
Les utilisateurs s’appuyant sur des autorisations d’un seul coup via l’infrastructure 0x sont restés indemnes.
L’incident a relancé la vigilance concernant les autorisations persistantes de jetons dans la finance décentralisée.
Les permissions illimitées offrent de la commodité mais augmentent l’exposition en cas de défaillance des contrats intelligents.
Par ailleurs, l’enquêteur on-chain ZachXBT a critiqué la réponse tardive de Circle pour geler le reste des USDC. Environ 3 millions de dollars seraient restés à des adresses éligibles au gel pendant la période de réponse.
La faille s’ajoute à une liste croissante de défaillances de sécurité dans la DeFi au début de 2026. Les données du secteur montrent que les fonds cryptographiques volés ont atteint des niveaux record ces dernières années, augmentant la pression sur les pratiques de sécurité des protocoles.
|
| AVERTISSEMENT : Les informations présentes sur ce site sont fournies à titre de commentaire général sur le marché et ne constituent pas un conseil en investissement. Nous vous encourageons à faire vos propres recherches avant d’investir. |
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
World Liberty, lié à Trump, fait l’objet d’un examen minutieux en raison de ses liens avec un réseau sanctionné : The Times
Une société d’investissement en cryptomonnaies cofondée par Donald Trump fait l’objet d’un examen pour avoir noué un partenariat avec AB DAO, lié à des personnes sanctionnées impliquées dans un réseau criminel. Malgré les affirmations de diligence raisonnable approfondie, ce partenariat soulève des inquiétudes concernant la gouvernance et les conflits d’intérêts au sein de l’entreprise.
CoinDeskIl y a 11h
L’équipe de gestion des risques Chaos Labs a quitté Aave en raison de problèmes de budget, et la sécurité de V4 est-elle incertaine ?
L’équipe de gestion des risques de Chaos Labs a annoncé la cessation de sa collaboration avec Aave en raison de pertes persistantes et de désaccords irréconciliables en matière de gestion des risques. À ce moment-là, Aave V4 venait tout juste d’être mis en ligne ; après la mise à niveau, Chaos doit reconstruire ses outils de gestion des risques, et les besoins budgétaires dépassent la limite acceptable pour Aave. De plus, Aave fait face au départ de plusieurs membres clés de son équipe principale, ce qui soulève des doutes quant à la stabilité opérationnelle.
ChainNewsAbmediaIl y a 20h
Leap Wallet va fermer d’ici le 28 mai, alors que l’équipe ralentit ses applications et son validateur
Leap Wallet ferme ses activités d’ici le 28 mai, mettant fin à la prise en charge de ses applications et services. Les utilisateurs sont invités à redéléguer ATOM et à déplacer leurs actifs rapidement, car la clôture complète marque une étape importante pour ce projet de portefeuille multi-chaînes.
CryptoNewsFlashIl y a 22h
Le portefeuille Phantom plante ! Le compte affiche un solde à zéro, officiellement confirmé : les fonds sont en sécurité
Le portefeuille crypto Phantom a connu une interruption de service temporaire le 7 avril, empêchant les utilisateurs de consulter correctement les prix des jetons et les soldes de leurs comptes, et certains utilisateurs ont vu l’interface afficher un solde à zéro. L’officiel a souligné que cette panne relevait d’un problème technique de couche d’affichage côté front-end ; les actifs réels en chaîne n’ont pas été affectés. Le jour même de l’interruption du service, Phantom a reçu une lettre de non-objection de la CFTC américaine, autorisant l’intégration de produits dérivés réglementés.
MarketWhisper04-07 02:30
Chaos Labs quitte Aave, ce qui indique qu’il existe des lacunes juridiques en matière de gestion des risques DeFi
La société de gestion des risques Chaos Labs annonce mettre fin à sa coopération de trois ans avec le protocole de prêt DeFi Aave, invoquant un désaccord fondamental entre les deux parties sur la manière d’appréhender la gestion des risques. Cette sortie met en lumière une zone grise juridique dans l’écosystème DeFi, dépourvue de garanties réglementaires, en particulier après un incident d’oracle récent ayant entraîné une erreur de liquidation d’environ 27 millions de dollars. La séparation entre Chaos Labs et Aave place Aave pendant la période cruciale de l’importante mise à niveau V4 dans un vide en matière de gouvernance, ce qui intensifie encore les inquiétudes quant à la responsabilité des systèmes de risque décentralisés.
MarketWhisper04-07 02:25
Denaria subit une attaque par contrat intelligent, avec une perte d’environ 165k dollars
Plateforme de trading de contrats perpétuels décentralisés Denaria annonce que son contrat intelligent a été attaqué, entraînant une perte d’environ 165k dollars. L’équipe mène actuellement une enquête avec l’auditeur et suspend l’interface utilisateur, tout en préparant un processus de remboursement. Denaria espère, grâce à une prime, inviter l’attaquant à la contacter afin d’éviter des poursuites judiciaires.
GateNews04-06 11:42
